RACF® または同等のセキュリティー製品を使用したセキュリティー環境のセットアップ
RACF® または同等のセキュリティー製品のプロファイルを定義するには、以下のステップを実行します。これらのステップでは、セキュリティー管理者は既に、DASD ボリューム (DASDVOL) と機能 (FACILITY) に対する制御アクセスを持っているものと想定しています。
以降の節には、RACF® を使用して File Manager の機能クラスをセットアップする例が含まれています。RACF® リソース・プロファイルについて詳しくは、z/OS Security Server RACF Command Language Reference を参照してください。
- FILEM.DISK.INPUT
- ディスク入力機能
- FILEM.DISK.UPDATE
- ディスク更新機能
- FILEM.TAPE.INPUT
- テープ入力機能
- FILEM.TAPE.OUTPUT
- テープ出力機能
- FILEM.TAPE.DUPLICATE
- テープ・コピー機能
- FILEM.TAPE.UPDATE
- テープ更新機能
- FILEM.VSAM.UPDATE
- VSAM 更新機能
- FILEM.OAM.OUTPUT
- OAM 出力機能
- FILEM.OAM.UPDATE
- OAM 更新機能
- FILEM.LOADMOD.UPDATE
- ロード・モジュール更新機能
- FILEM.OTHER.ALL
- その他すべての機能
- FILEM.TAPE.BLP
- 参照 ラベル迂回処理 (BLP) の制御
- FILEM.DISK.FULLPACK
- 参照 DASD ボリュームに対するフルパック・アクセスの制御
これらのグループに関して詳しくは、File Manager 機能とプロファイル名の相互参照 を参照してください。
アクセス制御
- FILEM.CICS.BASE
- File Manager Base function へのアクセス
- FILEM.CICS.IMS
- FM/IMS へのアクセス
- FILEM.CICS.DB2
- FM/Db2 へのアクセス
FM/CICS を実行しているユーザー ID がこれらのグループのいずれかへの読み取りアクセスを持っている場合、関連する機能 (FM、FM/IMS、または FM/Db2) が FM/CICS 基本オプション・メニューに表示され、ユーザーはそれらの機能を (機能がインストールされていれば) 起動できます。
File Manager は、これを行うために、STATUS=ACCESS を指定して CICS® SAF FACILITY プロファイルへの RACROUTE 呼び出しを実行します。RACF® が使用される場合、STATUS=ACCESS 要求は記述どおりに機能して、プロファイルへのアクセス権限がない場合でもセキュリティー関連のロギングまたは異常終了は生成されません。
ただし、他のセキュリティー製品 (ACF2 など) が使用されている場合は、上記の RACROUTE 要求に応答して S047 異常終了が発行される可能性があります。この場合、ご使用のセキュリティー製品の資料を参照して、適宜変更を行う必要があります。
FM/CICS コンポーネントのインストールとカスタマイズを完了したら、このアクセスについての要件を検討してください。
FM/CICS について詳しくは、File Manager CICS コンポーネントのカスタマイズおよびFile Manager User’s Guide and Reference for CICSを参照してください。
更新機能の保護
- FILEM.BASE.UPDATE
- File Manager Base componentで更新機能を保護します。
- FILEM.DB2.UPDATE
- FM/Db2 で更新機能を保護します。
- FILEM.CICS.UPDATE
- FM/CICS で更新機能を保護します。
FM/IMS の場合、セキュリティーのこの側面は異なる扱いとなっています。IMS サブシステムおよび FM/IMS 機能のアクセス制御機能 を参照してください。
また、この機能クラスでは、オプション SEC=YES が FMN0POPT (File Manager Base の場合)、FMN2POPT (FM/Db2 の場合) および FMN3POPT (FM/CICS の場合) に指定されている必要があります。SEC オプションの詳細については、SEC を参照してください。保護される機能の詳細については、無保護機能および保護機能用のプロファイル名 を参照してください。この方法で保護される機能のリストについては、File Manager 無保護機能、FM/Db2 で更新機能を保護するためのカスタマイズ、および FM/CICS で更新機能を保護するためのカスタマイズ を参照してください。
オプション・モジュールに SEC=YES が指定されていない場合、この機能クラスの検査は行われません。
アクセス権限を付与する/しない例
- 機能グループに対して、NONE というアクセスを全体に与える場合 (例えば、ディスク入力機能)、RACF® コマンドを次のように入力します。
RDEFINE FACILITY FILEM.DISK.INPUT UACC(NONE)
これは、特に指定のない限り、どのユーザーもそのグループの機能はまったく使用できないことを意味しています。
- すべてのユーザーに、機能のグループ (例えば、テープ入力機能) へのアクセスを与える場合は、次のような RACF® コマンドを入力します。
RDEFINE FACILITY FILEM.TAPE.INPUT UACC(READ)
- あるユーザー (ユーザー ID userid を持つユーザー) に、機能のグループ (例えば、テープ出力機能) へのアクセスを与える場合は、次のような RACF® コマンドを入力します。
PERMIT FILEM.TAPE.OUTPUT CLASS(FACILITY) ID(userid) ACCESS(READ)
同様に、テープ出力機能へのユーザー・アクセスを否認するには、次のような RACF® コマンドを入力してください。PERMIT FILEM.TAPE.OUTPUT CLASS(FACILITY) ID(userid) ACCESS(NONE)
FILEM.TAPE.OUTPUT に対する PERMIT ステートメントは、FILEM.TAPE.OUTPUT に対して指定した汎用アクセスをオーバーライドします。
- あるユーザーに、特定の機能 (例えば、VSAM からテープへの機能) へのアクセスを与える場合は、次のような RACF® コマンドを入力します。
PERMIT FILEM.FUNCTION.VT CLASS(FACILITY) ID(userid) ACCESS(READ)
同様に、VT 機能へのユーザー・アクセスを否認するには、次のような RACF® コマンドを入力してください。PERMIT FILEM.FUNCTION.VT CLASS(FACILITY) ID(userid) ACCESS(NONE)
FILEM.FUNCTION.VT に対する PERMIT ステートメントは、FILEM.TAPE.OUTPUT に対して指定した任意のアクセスをオーバーライドします。
- あるユーザー (ユーザー ID userid を持つユーザー) に、ロード・モジュールを更新する許可を与える場合は、次のような RACF® コマンドを入力します。
PERMIT FILEM.FUNCTION.LMU CLASS(FACILITY) ID(userid) ACCESS(READ)
FILEM.FUNCTION.LMU に対する PERMIT ステートメントは、FILEM.LOADMOD.UPDATE に対して指定した汎用アクセスをオーバーライドします。
- FACILITY クラスがまだシステムでアクティブになっていない場合には、次の RACF® コマンドを入力してアクティブにします。
SETROPTS CLASSACT(FACILITY) SETROPTS GENERIC(FACILITY) SETROPTS GENCMD(FACILITY)